ＩＴ維新研究所

ソフトウェアの品質管理の重要性に関して

【はじめに】

トヨタ車のリコール問題が大きく採り上げられています。

自動車の運転操作システムの欠陥に関しては、
交通事故を併発し、生命を危険にさらすことになります。

今回のトヨタのリコール問題の真の原因がどこにあるかは
現時点では諸説が報道されており、真の原因は不明との事です。

最新の自動車は、電子部品が随所に使用されています。

エンジンの制御、ブレーキの制御、更に、
緊急時の急ブレーキ制御等にも安全確保を目的とした
電子制御方式が導入されています。

また、エコを追求するためのハイブリッドカーの場合には、
ガソリンエンジンと電動モーターの切替を最適化するための
制御やブレーキのエネルギーを発電エネルギーに還元する等の
複雑なシステム構成となっています。

この電子制御をコントロールしているのは、ソフトウェアです。

ソフトウェアにバクが潜んでいたり、運転者の感性に関する
配慮不足や未熟な運転者による誤操作をも配慮する必要がある
のです。

ソフトウェアの品質不良が、交通事故を招き、
人命の損失にも繋がってしまいます。

改めて、ソフトウェアの品質管理の重要性を認識する
必要があります。

今回は、このソフトウェアの品質管理について考えてみたい
と思います。

【ソフトウエアのトラブル】

過去においてのソフトウエアが原因でトラブルになった事例は
数多くあります。

銀行合併時のシステム統合時のトラブルでは、
みずほ銀行の合併時の大混乱を思い出します。

証券取引所のトラブルでは、株式の売り買いシステムが
停止してしまった事件、みずほ証券の誤発注による大トラブル
がありました。

航空機会社の予約システムのトラブルは、
予約システムのトラブルで飛行機の発着に混乱を招く事例が
時々発生しています。

飛行機の管制システムのトラブルで、飛行機の発着が
大幅に乱れるという事件もありました。

このように社会のインフラとしてのシステムのトラブル事例は
数多く存在します。

更に最近では、サイバーテロの攻撃や内外の狼藉者による
個人情報漏洩事件も発生していますが、
これらもソフトウェアの脆弱な部分を攻撃するもので、
リスク管理のための防御用のソフトウェアも重要性を増しています。

しかしながら、航空機や自動車等の運行・運転に関しての
電子制御システムに関しては、ソフトウェアのバクが
人命に関わる重大事故の原因になる可能性があります。

より一層、ソフトウェアの品質管理は重要な経営課題となります。

ＩＴ技術の進化により、我々の周りには、意識する、意識しない
に関わらず数多くのソフトウェアが稼動しています。

このソフトウェアの品質の重要性が問われる時代
になっているのです。

特に、
今回のトヨタの自動車の電子制御のためのソフトウェアは、
不特定多数の運転者が運転するものであり、
また、温度、湿度等も世界各国の過酷な環境条件下で
安全に運転可能になることを要求されているのです。

テストケースの数だけでも相当な数になると同時に、
条件の設定事態もかなり難しいものと推測されます。

トヨタ車の品質の良さは、世界有数の品質管理体制で
有名だったわけですが、今回のリコール問題では、
電子制御のソフトウェアの品質管理体制に
疑念をもたれているということです。

【ソフトウェアの品質管理】

ソフトウェアの品質管理の重要性に関しては、
言うまでもないことですが、社会基盤を支える上で、
ハードウェアの品質管理と同様に、ソフトウェアの品質管理
の重要性を改めて認識する必要があります。

ソフトウェアの品質に影響を与える要素は、
生産管理プロセスの五要素である、
インプット、プロセス、アウトプット、
これにマネジメント条件と資源環境条件です。

これらの諸要素を最適化することが品質の高いソフトウェア
を生む必須条件ということです。

そして、このソフト生産プロセスを支えるために環境を整備し、
人材を育成し、支援体制を整えることが重要ということです。

ソフトウェア開発と品質管理に関しては、企業組織としての
総合的な体制の整備が重要な経営課題なのです。

【ソフトウェア品質管理のための国際標準】

ところで、ソフトウェア品質管理に関しても、
国際標準規格があるということをご存知でしたか？

◆ISO/IEC　JTC1:Infomation Technology 、
◆JTC1/SC7:Software&Systems Engineering、
◆ISO/TC176:Quality Management and Quality Assurance 、
◆IEC/TC56:Dependability Engineering、
◆IEC/TC65:Safty 、
◆ISO/TC159:Ergonomics、
◆ ISO/TC159/SC4:Usability　

等の組織で国際標準が設定されています。

これらの国際標準を参考にしながら、
個別企業のソフトウェア品質管理の基準を策定する必要があります。

とかく、ソフトウェア開発は、職人芸的な部分があり、
開発基準、品質管理基準が厳格に管理されていない傾向があります。

国際標準規格は、世界各国のソフトウェア開発工学分野の
ノウハウを集約したものです。

自社のソフト開発基準、ソフトウェア品質管理基準と
比較してみるのも肝要なことと思います。

不足な部分があれば補強して、堅固なソフトウェア開発体制と
ソフトウェア品質管理体制を経営者自ら
再確認する必要があるのです。

【ソフトウェアの品質管理のまとめ】

ソフトウェアの品質管理管理体制を整備し、強固な経営組織を
構築することは、社会基盤的なソフトウェアを管理運営している
組織にとっては重要な経営課題であることは、間違いのない
ことです。

ソフトウェアの品質管理のポイントまとめてみると、

１）ソフトウェアの品質向上は、全ての企業にとっての
　　喫緊の課題であること
２）ソフトウェアの品質向上には、ソフトウエア戦略を
　　明確にする必要があること
３）ソフトウェア戦略の対象は、環境・資源・人材・
　　プロセス・プロダクトと広範囲
４）ソフトウェア戦略の立案・遂行には国際標準の活用が
　　有効であること
５）人材の育成と品質測定技術の確立は、最重要課題であること
６）ソフトウエアのリスク管理は、企業の死命に関わる
　　重要な経営課題であるということ

今回のトヨタ自動車のリコール問題の原因がソフトウェア
であるとの結論がてでいる訳ではありませんが、何らかの形で、
部品と電子制御ソフトウェアが絡んでいることの疑念は
拭い切れません。

不特定多数のドライバーの感性や運転技術、操作ミス等も
配慮したソフトウェアを開発し、高品質のソフトウェアとして
維持していくことの難しさは、金融関連のビジネスソフトの
開発維持とは比べ物にならないほどの複雑さが予想されます。

金融機関のソフトウェア開発に関わるわれわれも
トヨタのリコール問題を契機として、自社のソフトウェアの
品質管理体制を見直す必要があります。

新型のウエブウィルス「ガンブラー」にご注意

【はじめに】

前回に引き続き、新型ウィルスをテーマにしたいと思います。

新型ウィルスといっても、風邪のインフルエンザの話ではありません。

現在、ウェブ上で猛威をふるっている「ガンブラー」という
コンピュータウィルスのことです。

読者の中には、自分とは直接関係ないと考えていらっしゃる方も多いかと
思いますので、敢えてどんなサイトが改ざんされているのか
具体的なサイト名をリストアップしてみました。

そして、心当たりの方は、早急に自己防衛なさることをお奨めします。

【改ざんされたサイトの具体例】

コンピューターウイルス「ガンブラー」やその亜種による
ウェブサイトの改ざんが増え続けています。

改ざんを公表しているサイトをピックアップしてみると、
「別添リスト」のようになります。

これらのリストは、サイトで公表されている一部のリストに過ぎません。

リストアップしていて、こんなにも数多くの大小のサイトが、
このウィルスに犯されているという事実を知って自分でも驚いています。

正直なところ、ここまで、幅広く広がっているとは思ってもいませんでした。。

これまでは、企業中心だったターゲットが自治体や大学、独立行政法人など
のサイトにも拡大していることを確認していただけると思います。

勿論このリスト以外の数多くのサイトが「ガンブラーと亜種」に
犯されている可能性があます。

更に、個人で運営しているサイトも数多くあり、
感染に気づいていない場合が多いと思われます。

皆さんの中で、このリストにアクセスした方もいらっしゃる方も
おられると思います。

心当たりのある方は勿論ですが、心当たりのない方もインターネットに
アクセスするＰＣの状況を自己診断され早急に対策をなさることをお奨めします。

【新型ウエブウイルスの特徴】

新型のタイプでは、従来型と違い、サイトを改ざんするだけでなく、
クレジットカード番号等を盗む仕組みが加わるなど、
犯罪の意図が明確になってきています。

ウイルス対策会社「カスペルスキーラブスジャパン」（東京）の調査では、
このタイプの改ざんは、昨年の１２月２４日以降、国内３８０以上のサイトで
確認されたそうです。

改ざんを受けたサイトは、前述したリストの中にあるように、
ＪＲ東日本やホンダ、ハウス食品などの大企業のホームページも
次々に被害にあっています。

国内で少なくとも３５００サイトで感染が確認されているとのことです。

ＪＲ東日本で約５万人、ホンダで約５千人、ハウス食品では約１万２千人に
感染の可能性があるというのです。

ガンブラー・ウイルスによる被害は、ハッカーがウイルスなどを使って
企業のホームページ管理用のＩＤとパスワードを入手し、
そのホームページを改ざんすることから始まります。

改ざんされたホームページは、アクセスしたユーザーを
別の不正なホームページに誘導し、
さまざまな目的を持ったコンピュータウイルスをアクセスしたパソコンに
勝手にダウンロードさせてしまいます。

改ざんされたウエブサイトからダウンロードされるウイルスは、
今後、個人の銀行の口座番号やパスワードを盗むような、
より悪質なものが加わってくる可能性は大です。

金銭的な被害が発生するのは時間の問題です。

【感染源と感染防御策は】

◆ウェブサイト制作会社が感染源か

改ざんされたサイトを分析したところ、
同一の制作会社が運営しているサイトがみつかったとのことです。

大手企業は、ウェブの制作・変更はすべて制作会社に委託しているケースが多いのです。

従って、ウェブサイト制作会社が感染源になっている可能性が高いといわれています。

ガンブラーはウェブサイトの更新に使われるFTPというソフトのID・パスワードを
盗み取ってホームページを改ざんします。

改ざんされたサイトは、どこかでFTPのID・パスワードを盗まれていたのです。

◆防御には、単なるウイルス駆除ソフトでは駄目

ガンブラーはパソコンの設定ファイル（レジストリ）を書き換え、
ネットワークに流れるデータを監視しており、
データの中からFTPのID・パスワードを収集して外部に送信する仕組みとなっています。

もし感染に気づかないままでいれば、常にFTPのID・パスワードが犯人側に
送信されてしまう仕組みになっているのです。

ウィルス駆除ソフトを導入しているから安心というわけではありません。

なぜなら、ウイルス対策ソフトのウィルス検出用のパターンファイルが、
ガンブラーの亜種を早期には検知できないからです。

亜種が登場するスピードが速すぎて、
パターンファイルの作成が追いつかずに感染の検知・駆除がむずかしいのです。

ガンブラー対策のためには、
「URLフィルタリング機能」の付いたウイルス対策ソフトを導入する必要があります。

ご自身のＰＣに導入されているウィルス対策ソフトをチェックしてみてください。

◆フラッシュプレーヤー、アクロバットリーダーなどは最新に

ＰＣには、基本ソフト以外にいろいろなソフトが導入されています。

これらのソフトは最新バージョンに常にアップデートすることが重要です。

マイクロソフトオフィス、アドビフラッシュプレーヤー、
アドビアクロバットリーダー等のソフトは常に最新バージョンに更新しておきましょう。

◆詳細情報は、サイバークリーンセンターにアクセスしてください。

サイバークリーンセンター（CCC）は、
総務省と経済産業省が連携して運営している国のボット対策プロジェクトですが、
ガンブラーやボットの感染を防ぐために、
各種ソフトを最新バージョンに保持する方法を、詳しくまとめています。

このページを参考にＰＣの設定をしておけば、ウェブサイトからのウイルス感染の確率を減らすことができます。

【まとめ】

今回は、新型のウェッブウイルスについてその危険性と防御策に関しての
情報を取り上げました。

日常的に身近にアクセスしているサイトが、ガンブラーウィルスに犯されていて、
これに気づかずアクセスして、自分のＰＣもウィルスに犯されてしまい、
ＩＤやパスワードが盗まれてしまうということになります。

前回は、「トロイの木馬」というウィルスを紹介しましたが、
今回は、「ガンブラー」です。

サイトに忍び込み、アクセスしたＰＣにウィルスを感染させ、
個人情報を盗みとってしまうといういろいろな「新型ウィルスとウィルスの亜種」
が蔓延してきています。

しかも、ウィルスの目的が金銭の盗み出しということも最近の傾向です。

インターネットサイトにアクセスする場合には、
アクセスするＰＣのウイルス対策は十分であるのか、
最新バージョンのソフトをインストールしているのか
の自己点検が必須条件ということを肝に銘じる必要があるということです。

【別添】改ざんされたウエブサイトのリスト

オーク情報システム、サロンドグレー／クレッセント、日本血液浄化技術学会、日本大学歯学部同窓会、日本アクションラーニング協会、おかやまファーマーズ・サウスヴィレッジ、日本ＬＰガス協会、首都圏システム開発、ゾロOFFICIAL WEB SITE、降秦商行、ひめの矯正歯科、すまいる歯科、カグー、プラザスタイル、西日本企画サービス、さくら亭、経営戦略研究所、アルゴノート、インターメディカル、ミュージックグリッド、IGOAMIGOホームページ、あゆみ共同保育所、テイクス、福水グループ、ケイバ、ピーツーワンソフト・インコーポレイテッド、アルテサロンホールディングス、ゴギャン展2009公式サイト/NHKプロモーション、エコルート、フランスベッド、リーダー電子、ＳＤＭ、雇用・能力開発機構　大阪、ワイドレジャー、エヌイーホールディングス、フェザー、淺川鍼灸整骨院、遠鉄百貨店、海老名第一ビルディング、武市ウインド名古屋、林原グループ、wazacule、ハート＆カラー、ムーンスター、東急ステイサービス、エムエスティ保険サービス、三栄コーポレーション、サイバーエージェント、ハウス食品、東京財団、データリンクス、京王電鉄、ピロング、恵那バッテリー電装、ナショナル・クリエイターズ・カンファレンス、大学図書館問題研究会、、モロゾフ、民主党東京都総支部連合会、ローソン、検索エンジンMooter、デジタルマガジン、ディズニー、信越放送、FX為替情報検索、野村ビルマネジメント、京成トラベルサービス、本田技研工業、ＪＲ東日本、ラジオ関西、東京大学大学院教育学研究科、中小企業基盤整備機構、札幌市公園緑化協会、仙台国際交流協会、

等々です。

続トロイの木馬

【どんな被害が発生するのか】

「このトロイの木馬」は、数多くの亜種が次から次へと生成され、通常の
ホームページに忍び込み、このサイトにアクセスした無防備のパソコンに
組み込まれてしまうのです。

本人が知らない間に、自分のパソコンに「トロイの木馬」が仕込まれてしまう。

このことに気づかずに、パソコンの操作状況がモニターされ、銀行取引や
クレジットカードでのショッピングデータが盗み取られてしまうのです。

そして、この盗み取られたデータをベースに、銀行預金が犯人の口座に振り込まれ
預金を盗まれてしまうのです。

また、盗まれたクレジットカードのデータにより、ショッピングが行われ、自分では
買った覚えのないクレジットの請求がなされる等の被害にあうことになるのです。

【現実問題として日本での対応】

この事実を具体的な事例で察知して、いち早く対応したのが、
三井住友銀行です。お客様のパソコンに入り込んでしまった兆候をいち早く察知し、
迅速で、能動的な対策を行うことにより、お客様の被害を防御する対策です。

具体的には、「トロイの木馬」を配布しているサイト等を検知し、閉鎖するサービス
である「RSA FraudActionサービス」の新機能である「Anti-TrojanService」という
オプションサービスを日本で初めて導入しています。

【SMBCダイレクトのセキュリティー対策】

三井住友銀行のインターネットバンキングである、「SMBCダイレクト」の
セキュリティー対策をホームページを参照すると、各種の対策が装備されています。
大変参考になることが掲出されています。是非読者の皆さんも参考にされること
をお奨めします。

◆要約するとセキュリティー対策として五項目◆
1)システム、通信に強力な防御体制
2)他人には使えないような仕組
3)パスワードをしっかり守る対策
4)万が一の被害を最小限に抑える対策
5)ネット犯罪「フィツシング詐欺」対策

◆このための具体的な手法例として八項目◆
1)ワンタイムパスワードの導入(有料)
2)ATMオートロックサービス
3)電子メールお知らせサービス(有料)
4)取引受付完了のご連絡メール
5)新型ソフトウェアキーボードの導入
6)自動終了方式の採用
7)ネット犯罪「フィツシング詐欺」対策
8)その他の取組
　・10桁の契約者番号によるお客様の特定、
　・3つの暗証番号による厳重な本人認証システム、
　・128ビットSSLの暗号通信方式、
　・インターネット専用の暗号番号の設定、　　等

以上が掲出されています。詳細に関しては、ホームページで、
ご確認ください。

【まとめ】

インターネットは、確かに便利ですし、ショッピングやインターネット
バンキングによる銀行取引はわれわれのライフスタイルを変えてきています。

その一方で、このような本人が気づかないうちに「トロイの木馬」が自分の
パソコンに忍び込んでしまう危険性があるということです。

ユーザーがこのような種類の攻撃から身を守るためには、
アンチウイルスソフトウェア、OS、ブラウザなどのソフトウェアを常に
最新の状態に保つ必要がある、ということを肝に命じておきたいものです。

そして、更には、サービスを提供する側にも、無知で不注意なお客様への注意を
喚起すると同時に、お客様の利益を守るための対策を積極的に行って欲しいものです。